BIND 9.8.xのResponse Policy Zones（RPZ）機能の実装上のバグによるnamedのサービス停止について

DNS関連技術情報のトップへ戻る
---------------------------------------------------------------------
■BIND 9.8.xのResponse Policy Zones（RPZ）機能の実装上のバグによる
  namedのサービス停止について - バージョンアップを強く推奨 -

                                株式会社日本レジストリサービス（JPRS）
                                            初版作成 2011/07/05（Tue）
                                                更新 2011/07/08（Fri）
                （ISCの日本語情報／JPCERT/CCの注意喚起へのリンク追加）
---------------------------------------------------------------------

▼概要

  BIND 9.8.xのResponse Policy Zones（RPZ）機能には実装上のバグがあり、
  namedのリモートからのクラッシュ（サービス停止）が可能であることが、
  開発元のISCより発表されました。本脆弱性により、提供者が意図しない、
  名前解決サービスの停止が発生する可能性があります。

  本脆弱性は危険度が高いことから、該当するBIND 9.8.xにおいてRPZ機能を
  利用しているユーザーは、関連情報の収集、緊急パッチの適用など、適切な
  対応を取ることを強く推奨します。

▼詳細

  RPZはBIND 9.8.0から正式導入され、キャッシュDNSサーバーがクライアント
  に返す応答内容を、当該キャッシュDNSサーバーの運用者のポリシーにより
  制御可能にする機能を提供します。RPZの技術的詳細につきましては、ISCが
  公開している以下のドキュメント（*1）などをご参照ください。

  （*1）DNS Response Policy Zones (DNS RPZ)
        <http://ftp.isc.org/isc/dnsrpz/isc-tn-2010-1.txt>
        Response Policy Zones for the (not just) Domain Name System (DNS RPZ)
        <https://www.isc.org/files/imce/2010-11-DNSRPZ.pdf>


  BIND 9.8.xでは実装上の不具合により、キャッシュDNSサーバーとして動作
  させ、かつRPZ機能を有効にしたnamedにおいて、RPZのゾーンファイルに
  DNAMEレコード及び特定のCNAMEレコードが含まれている場合、当該ゾーンに
  対する問い合わせを受信した時点で、namedが異常終了する問題が発生しま
  す。

  本脆弱性の対象となるBIND 9.8.xのバージョンは以下の通りです。

  ・9.8.0, 9.8.0-P1, 9.8.0-P2 及び 9.8.1b1

  開発元であるISCは、本脆弱性の深刻度（Severity）を「高（High）」と評
  価しています。

  なお、当該サーバーにおいてRPZ機能を使用していない場合、本脆弱性の影
  響を受けません。また、RPZが実装されていないBIND 9.7以前のバージョン
  については、本脆弱性の影響を受けません。

  本脆弱性については、以下の脆弱性情報（*2）も併せてご参照ください。

  （*2）CVE - CVE-2011-2465
        <https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-2465>

▼一時的な回避策

  当該のCNAME、あるいはDNAMEレコードがRPZのゾーンファイルに含まれない
  ようにすることで、本脆弱性を回避できます。もし、第三者からRPZのゾー
  ンファイルの提供を受けている場合、以下の解決策実施までの間、当該ゾー
  ンファイルを適用する時点で、それらが含まれないように処理する必要があ
  ります。

  なお、RPZにおいてCNAMEレコードを「その名前は存在しない（NXDOMAIN）」
  エラーを返す用途のみに使用している場合、本脆弱性の影響を受けません。

▼解決策

  BIND 9.8.0-P4へのアップグレード、または各ディストリビューションベン
  ダーなどからリリースされるパッチの適用を実施してください。

▼参考リンク

  以下に、開発元であるISCから発表されている情報（英語／日本語）、及び
  JPCERT/CCから公開されている注意喚起へのリンクを記載します。また、各
  ディストリビューションベンダーからの情報やCVEの情報（*2）などもご確
  認の上、適切な対応をお願いいたします。

  * ISC

    ISC BIND 9 Remote Crash with Certain RPZ Configurations
    <https://www.isc.org/software/bind/advisories/cve-2011-2465>
    ISC BIND 9に対するRPZ(Response Policy Zone)を用いた遠隔サービス妨害攻撃 
    <https://www.isc.org/software/bind/advisories/cve-2011-2465-JP>

    BIND 9.8.0-P4
    <ftp://ftp.isc.org/isc/bind9/9.8.0-P4>

  * JPCERT/CC

    ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起
    <https://www.jpcert.or.jp/at/2011/at110019.html>

  * JPNIC

    ISC BIND 9 に関する脆弱性について
    <http://www.nic.ad.jp/ja/topics/2011/20110706-01.html>

---------------------------------------------------------------------
▼更新履歴
  2011-07-05 23:15 初版作成
  2011-07-08 13:00 ISCの日本語情報／JPCERT/CC／JPNICの注意喚起へのリンク追加